728x90
반응형
악성 코드 분석 시, PE 파일이 ASLR로 인해 IDA와 x64dbg에서 서로 주소 값이 다른 것을 확인할 수 있다. 주소를 칠 때마다 imagebase를 계산해서 사용하기에는 불편함이 많기 때문에 주소 값을 맞추는 방법을 정리하겠다.
IDA Rebase Program
IDA에서 베이스를 재설정해줄 수 있다. 우선 x64dbg에서 베이스 주소를 찾아보자.
x64dbg에서 실행 파일의 이름이 올라간 주소를 보면 현재 베이스 주소를 알 수 있다. 사진의 경우 `7FF63BCF0000`이다.
아이다에서 Edit - Segments - Rebase program으로 들어가자
Value를 앞서 확인한 `0x7FF63BCF0000`로 수정하자
x64dbg에서 main 함수의 주소가 7FF63BCF1250인 것을 확인할 수 있다.
IDA에서도 마찬가지로 7FF63BCF1250인 것을 확인할 수 있다.
728x90
반응형